ISAKMP (Ассоциация Безопасности Интернета и Протокол Управления Ключами) - это протокол, определенный в RFC 2408 для установления Ассоциаций Безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP обеспечивает только платформу для аутентификации и обмена ключами и предназначен для независимого обмена ключами; протоколы, такие как Internet Key Exchange и Kerberized Internet Negotiation of Keys, предоставляют аутентифицированный материал ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME вместе с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI[1]
ISAKMP определяет процедуры для аутентификации взаимодействующего однорангового узла, создания и управления ассоциациями безопасности, методов генерации ключей и уменьшения угроз (например, отказ в обслуживании и повторные атаки). В качестве основы [1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Internet Negotiation of Keys. Предварительный SA формируется с использованием этого протокола; позже был создан новый ключ.
ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления сопоставлений безопасности. SA содержат всю информацию, необходимую для выполнения различных сервисов сетевой безопасности, таких как сервисы уровня IP (такие как аутентификация заголовка и инкапсуляция полезной нагрузки), сервисы транспортного или прикладного уровня или самозащита трафика переговоров. ISAKMP определяет полезные нагрузки для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключа и данных аутентификации, которая не зависит от метода генерации ключа, алгоритма шифрования и механизма аутентификации.
ISAKMP отличается от протоколов обмена ключами, чтобы четко отделить детали управления связями безопасности (и управления ключами) от деталей обмена ключами. Существует много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако для согласования формата атрибутов SA и для согласования, изменения и удаления SA требуется общая структура. ISAKMP служит этой общей структурой.
ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP по порту 500.
OpenBSD впервые внедрила ISAKMP в 1998 году с помощью программного обеспечения isakmpd(8).
Служба IPsec Services в Microsoft Windows обрабатывает эту функцию.
Проект KAME реализует ISAKMP для Linux и большинства других BSDs с открытым исходным кодом.
Современные маршрутизаторы Cisco используют ISAKMP для согласования VPN.
Просочившиеся презентации NSA, выпущенные Der Spiegel', указывают на то, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и IKE. [2] Исследователи обнаружили, что состояние атаки Logjam, которое разрывает 1024-битную группу Диффи-Хеллмана, сломало бы 66% VPN-серверов, 18% из первого миллиона доменов HTTPS и 26% SSH-серверов, что согласуется с тем, что утверждают исследователи, согласуется с утечками.[3]
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .